據消息,去中心化交易平臺DODO的wCRES/USDTV2資金池被黑客攻擊,轉走價值近98萬美元的wCRES和近114萬美元的USDT。DODO表示,團隊已下線相關資金池建池入口,該攻擊僅影響DODOV2眾籌池,除V2眾籌池之外,其他資金池均安全;團隊正在與安全公司合作調查,并努力挽回部分資金。更多后續消息請關注DODO官方社群公告。慢霧安全團隊在第一時間跟進并分析,下面將細節分析給大家參考。攻擊細節分析
白帽黑客在2022年通過Immunefi贏得5200萬美元的漏洞賞金:金色財經報道,加密貨幣的漏洞賞金平臺Immunefi向白帽黑客支付了超過 5200 萬美元,以獎勵他們在 2022 年發現區塊鏈和加密貨幣應用程序中的漏洞,這一年加密貨幣黑客的價值?超過 30 億美元。[2022/12/23 22:02:09]
通過查看本次攻擊交易,我們可以發現整個攻擊過程非常短。攻擊者先將FDO和FUSDT轉入wCRES/USDT資金池中,然后通過資金池合約的flashLoan函數借出wCRES和USDT代幣,并對資金池合約進行初始化操作。
Coinbase確認其代表灰度持有約63.5萬枚BTC是安全的:金色財經報道,Coinbase確認其代表Grayscale Bitcoin Trust持有約63.5萬枚BTC是安全的。Coinbase會定期執行“鏈上驗證”以確認數量的BTC的存在和安全。[2022/11/22 7:54:18]
為何存入FDO和FUSDT代幣卻能成功借出wCRES和USDT,并且初始化資金池合約呢?是因為資金池的閃電貸功能有漏洞嗎?接下來我們對flashLoan函數進行詳細分析:
加密貨幣總市值跌至1.23萬億美元:金色財經報道,據CoinGecko數據顯示,當前加密貨幣市值為1.238萬億美元,24小時跌幅達到4.9%,24小時交易量為1066億美元。當前比特幣市值占比為43.8%,以太坊市值占比為16.9%。[2022/5/28 3:46:32]
通過分析具體代碼我們可以發現,在進行閃電貸時會先通過_transferBaseOut和_transferQuoteOut函數將資金轉出,然后通過DVMFlashLoanCall函數進行具體外部邏輯調用,最后再對合約的資金進行檢查。可以發現這是正常閃電貸功能,那么問題只能出在閃電貸時對外部邏輯的執行上。通過分析閃電貸的外部邏輯調用,可以發現攻擊者調用了wCRES/USDT資金池合約的init函數,并傳入了FDO地址和FUSDT地址對資金池合約進行了初始化操作。
Polygon、Juno和Fantom區塊鏈網絡正嘗試吸引Terra鏈上項目:5月16日消息,在Terra生態系統崩潰之后,Polygon、Juno和Fantom區塊鏈正試圖吸引Terra鏈上項目。隨著流動性緊縮,Terra托管應用程序背后的一些開發人員已經開始準備遷移到其他區塊鏈網絡,目前已經決定關閉Terra協議的NFT和DeFi項目包括Kujira、Stader Labs、Luna Bulls、Lunar Flip和Hero NFT等。
Polygon Studios首席執行官Ryan Wyatt已經在社交媒體上表示,他的團隊正在與基于Terra的項目密切合作,以幫助他們遷移到Polygon區塊鏈網絡上;Juno也發起新的治理提案,要求社區批準為遷移到其鏈上的Terra項目提供100萬枚JUNO Token(約合700萬美元)激勵措施。此外,Fantom宣布正在為Terra項目提供贈款、營銷和生態系統對接服務。(TheBlock)[2022/5/16 3:20:05]
到這里我們就可以發現資金池合約可以被重新初始化。為了一探究竟,接下來我們對初始化函數進行具體的分析:
通過具體的代碼我們可以發現,資金池合約的初始化函數并沒有任何鑒權以及防止重復調用初始化的邏輯,這將導致任何人都可以對資金池合約的初始化函數進行調用并重新初始化合約。至此,我們可以得出本次攻擊的完整攻擊流程。攻擊流程
1、攻擊者先創建FDO和FUSDT兩個代幣合約,然后向wCRES/USDT資金池存入FDO和FUSDT代幣。2、接下來攻擊者調用wCRES/USDT資金池合約的flashLoan函數進行閃電貸,借出資金池中的wCRES與USDT代幣。3、由于wCRES/USDT資金池合約的init函數沒有任何鑒權以及防止重復調用初始化的邏輯,攻擊者通過閃電貸的外部邏輯執行功能調用了wCRES/USDT資金池合約的初始化函數,將資金池合約的代幣對由wCRES/USDT替換為FDO/FUSDT。4、由于資金池代幣對被替換為FDO/FUSDT且攻擊者在攻擊開始時就將FDO和FUSDT代幣存入了資金池合約,因最終通過了閃電貸資金歸還的余額檢查而獲利。總結
本次攻擊發生的主要原因在于資金池合約初始化函數沒有任何鑒權以及防止重復調用初始化的限制,導致攻擊者利用閃電貸將真幣借出,然后通過重新對合約初始化將資金池代幣對替換為攻擊者創建的假幣,從而繞過閃電貸資金歸還檢查將真幣收入囊中。參考攻擊交易:https://cn.etherscan.com/tx/0x395675b56370a9f5fe8b32badfa80043f5291443bd6c8273900476880fb5221e
Tags:USDSDTUSDTCREEUSDusdt幣怎么兌換人民幣歐意usdt幣交易違法嗎能投入嗎Cream ETH 2
Odaily星球日報譯者|MoniBloombergIntelligence近日發布了2021年3月的《彭博加密展望》報告.
1900/1/1 0:00:00比特幣市場 伴隨著美國政府開始發放首批拜登疫情紓困法案下1400美元的補助金,比特幣在周末沖上60000美元整數關口,再度創下歷史新高.
1900/1/1 0:00:00本文來自TheBlock,作者:RyanWeeksOdaily星球日報譯者|余順遂 摘要: 多資產交易平臺eToro正在與FinTechAcquisitionCorp.V.合并.
1900/1/1 0:00:002020年3月12日對于加密金融市場的很多用戶而言,是“危”與“機”完美并存的時刻。這一天加密資產暴跌腰斬,市場充滿了悲觀的預測;同樣是這一天,讓那個三月份成為加密資產配置的絕佳時段.
1900/1/1 0:00:00作者|黃雪姣編輯|郝方舟出品|Odaily星球日報 從Uniswap一雙襪子賣16萬美元,推特創始人五個單詞拍出250萬美元,到加密藝術家Beeple的NFT作品以近7000萬美元天價成交.
1900/1/1 0:00:00編者按:本文來自金色財經,Odaily星球日報經授權轉載。今天,加里·金斯勒的美國證券交易委員會主席任命已通過參議院委員會投票,距離上任僅有一步之遙.
1900/1/1 0:00:00